被稱為“安全殺手”的“AV終結(jié)者”病毒背后凸顯出人為縱毒和病毒集團(tuán)化運(yùn)作的痕跡

　　被稱為“安全殺手”的AV終結(jié)者病毒近日愈演愈烈，截止到6月12日，變種數(shù)已達(dá)500多個，波及人群超過10萬人。

　　病毒專家指出，“AV終結(jié)者”病毒的破壞過程被精心策劃，用戶一旦感染，幾乎所有的解決途徑均遭破壞，很難清除。

　　6月18日，中國經(jīng)濟(jì)時報記者采訪金山毒霸全球反病毒應(yīng)急處理中心時獲悉，經(jīng)過金山毒霸反病毒工程師的嚴(yán)密分析，被稱為“安全殺手”的“AV終結(jié)者”病毒背后凸顯出人為縱毒和病毒集團(tuán)化運(yùn)作的痕跡。

　　在金山毒霸反病毒工程師李鐵軍的敘述中，這個被稱為謎一樣的病毒一點(diǎn)點(diǎn)現(xiàn)出原形。

　　人為縱毒露馬腳

　　自6月8日開始，金山毒霸反病毒工程師李鐵軍開始發(fā)現(xiàn)各種論壇、貼吧等地方出現(xiàn)了越來越多的關(guān)于該病毒的咨詢，而金山毒霸的客服中心關(guān)于該病毒的咨詢量也迅速飆升，這個病毒的日咨詢量達(dá)到了金山毒霸客服部門日常咨詢量的3倍以上。

　　6月8日晚，李鐵軍遠(yuǎn)程協(xié)助一位朋友完成了對一個“AV終結(jié)者”新變種的清除。在清除時李鐵軍發(fā)現(xiàn)該病毒將殺毒軟件關(guān)閉后迅速在該機(jī)器上下載了數(shù)十個夢幻西游、魔獸、還有大話春秋的盜號木馬。李鐵軍發(fā)現(xiàn)普通用戶對殺毒軟件是否正常工作并不太關(guān)注，而中了這個病毒之后，系統(tǒng)的其他功能基本正常。性能沒有降低，并不影響用戶上網(wǎng)，只是所有含有“金山毒霸”、“卡巴斯基”、“瑞星”、“江民”、“360”、“金山社區(qū)”、“卡卡社區(qū)”、“殺毒”、“病毒”、“木馬”、“專殺”等敏感字符串的軟件和進(jìn)程以及與此有關(guān)的網(wǎng)站全部無法打開。李鐵軍逐漸感覺到這個病毒的不尋常。

　　一個通過U盤和移動硬盤傳播的病毒如何引起這樣大規(guī)模的傳播呢？僅僅依靠病毒自然衍生，顯然不能做到這一點(diǎn)。那么第一個入侵電腦的“AV終結(jié)者”又是通過哪個途徑入侵的呢？

　　李鐵軍與金山毒霸珠海研發(fā)中心的反病毒工程師戴光劍通過長途電話和網(wǎng)絡(luò)徹夜長談。

　　他們得出這樣一個結(jié)論：人為地將制作完成的“AV終結(jié)者”病毒通過U盤在網(wǎng)吧等公共上網(wǎng)場所傳播。聯(lián)想到近一段時間廣泛出現(xiàn)的嚴(yán)重的網(wǎng)站掛馬事件，以及不久前廣泛出現(xiàn)的利用ARP欺騙，讓整個局域網(wǎng)用戶下載木馬病毒的事件，他們認(rèn)為還有一種簡單有效的方式就是攻擊企業(yè)的公眾服務(wù)器。除了攻擊企業(yè)的公眾服務(wù)器，還可以攻擊企業(yè)內(nèi)部的服務(wù)器，用同樣的方法攻入企業(yè)內(nèi)部網(wǎng)絡(luò)，展開ARP攻擊，迅速讓掛馬現(xiàn)象在整個公司網(wǎng)絡(luò)中蔓延。

　　這一結(jié)論很快得到其他安全廠商的認(rèn)同。

　　病毒呈公司化運(yùn)作

　　然而在這個問題之后一個更大的謎團(tuán)是：如果是人為縱毒，那么是誰在背后主使著這一切？縱毒目的又是什么？

　　該病毒的目的很明確，封掉了用戶的一切求助手段之后，病毒就會在用戶毫無察覺的情況下下載數(shù)百種盜號木馬、廣告木馬、風(fēng)險程序......這一切的背后都是利益。

　　李鐵軍和戴光劍認(rèn)為，“AV終結(jié)者”病毒的泛濫太像“熊貓燒香”病毒，只是運(yùn)作這個利益鏈的盜號集團(tuán)，比“熊貓燒香”的作者李俊更加小心謹(jǐn)慎，手法也更隱晦。

　　幕后黑手通過自己或者主使人將病毒傳播到目標(biāo)計算機(jī)后，立即展開破壞行動，“干掉”安全軟件和windows防火墻以及自動更新，并讓所有與病毒、安全等有關(guān)的論壇全部無法打開，而且在重裝系統(tǒng)后仍殘留在系統(tǒng)中。通過這一切手段讓系統(tǒng)安全防御措施變成瞎子之后，大量下載各種目的不一的后門程序和木馬。

　　戴光劍通過技術(shù)測試分析出“AV終結(jié)者”會下載數(shù)十種不同目的的木馬后門程序，并且這些后門程序會像“灰鴿子”一樣時時更新。另外還有百余種盜QQ號碼的、盜網(wǎng)游帳號和裝備的、盜網(wǎng)銀帳號的木馬。這些木馬的制作者或者下游的購買者再拿走這個盜號鏈條上的自己所需要或者感興趣的任何東西。

　　在“AV終結(jié)者”的整個利益鏈條中，任何一個階段都采用了多種不同種類的病毒和攻擊手段，任務(wù)的復(fù)雜度超過了以前出現(xiàn)的所有病毒。若不是一個計劃周密的公司或者組織，是無法完成這一任務(wù)的。

　　未解之謎

　　戴光劍通過技術(shù)手段分析出，為無數(shù)木馬和后門程序以及其他病毒打開方便之門的“AV終結(jié)者”會從如下地址下載各種木馬病毒：http?／／head.bodyhtml.biz／update／update.Txt等。

　　而通過這些木馬病毒的下載地址很容易查出背后的控制者是誰。這些下載服務(wù)器是整個利益鏈條中的聚合器。擁有或控制這些站點(diǎn)的人，將因此受益，但他們也終將會為此付出代價。

　　而面對這些，反病毒工程師只能感嘆自己不是執(zhí)法機(jī)構(gòu)，這些未解的謎只能等待執(zhí)法機(jī)構(gòu)一一去查證了。

標(biāo)簽： 安全 防火墻 服務(wù)器 計劃 企業(yè) 網(wǎng)絡(luò) 網(wǎng)站 問題 用戶

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。